Перейти к содержанию

manyfiles@aol.com.harma

vchikarin
 Поделиться

Рекомендуемые сообщения

vchikarin

vchikarin

Опубликовано
Опубликовано (изменено)

Добрый день

 

Очень нужна помощь в дешифровке файлов

Мои знакомые словили шифровальщика на сервере со всеми базами 1С 

все файлы имеют окончание id-48805447.[manyfiles@aol.com].harma

Им бы хотя бы бэкапы расшифровать (дада, бэкапы лежат на том же серврере)

 

Будут весьма благодарны

FRST.txt

Addition.txt

Shortcut.txt

Изменено пользователем vchikarin
thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки нет. Будет только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [1W72451_payload.exe] => C:\WINDOWS\System32\1W72451_payload.exe [94720 2020-04-02] ()
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13923 2020-04-02] ()
HKLM\...\Run: [C:\Documents and Settings\Администратор\Application Data\Info.hta] => C:\Documents and Settings\Администратор\Application Data\Info.hta [13923 2020-04-02] ()
2020-04-02 15:14 - 2020-04-02 15:14 - 000013923 _____ C:\Documents and Settings\Администратор\Application Data\Info.hta
C:\WINDOWS\System32\Info.hta
C:\WINDOWS\System32\1W72451_payload.exe
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\FILES ENCRYPTED.txt
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\Администратор\Рабочий стол\FILES ENCRYPTED.txt
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
2020-04-02 14:37 - 2020-04-02 14:37 - 000094720 _____ C:\WINDOWS\system32\1W72451_payload.exe
2020-04-02 14:37 - 2019-09-12 21:42 - 000094720 ____R C:\Documents and Settings\Администратор\Рабочий стол\1W72451_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано (изменено)

Вирус еще активен.

Доступ есть пока только через RDP.

При нажатии на FIX он перезагрузился. И лог зашифровался.

Сейчас попробую KVRT прогнать, но там ооочень медленный интернет долго будет закачиваться

Fixlog.txt

Изменено пользователем vchikarin
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано

Пробую, автосборщик работает только через консоль, а у меня RDP, сейчас попробую задействовать AMMYY


Собрал логи


Если необходимо, могу приложить сам файл вируса

CollectionLog-2020.04.03-10.30.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 TerminateProcessByName('c:\windows\system32\1w72451_payload.exe');
 QuarantineFile('c:\windows\system32\1w72451_payload.exe','');
 DeleteFile('c:\windows\system32\1w72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1W72451_payload.exe','x32');
 DeleteFile('C:\WINDOWS\System32\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Application Data\Info.hta','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке ссылке https://virusinfo.info/upload_virus.php?tid=37678.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => mshta.exe "C:\WINDOWS\System32\Info.hta"
HKLM\...\Run: [C:\Documents and Settings\chikarin\Application Data\Info.hta] => mshta.exe "C:\Documents and Settings\chikarin\Application Data\Info.hta"
HKLM\...\Run: [C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta] => C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta [13923 2020-04-03] () [File not signed]
S3 WinHttpAutoProxySvc; winhttp.dll [X]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
2020-04-03 11:49 - 2020-04-03 11:49 - 000013923 _____ C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta
2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\FILES ENCRYPTED.txt
2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
2020-04-03 09:51 - 2020-04-03 10:31 - 000000224 _____ C:\Documents and Settings\chikarin\Рабочий стол\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
vchikarin

vchikarin

Опубликовано
  • Автор
Опубликовано

ОК, спасибо.

 

Видать придется им заплатить вымогателям

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alex555
      Вирус шифровальщик wallet
      Автор Alex555
      Вирус зашифровал все файлы и переименовал их. Все файлы имеют расширение wallet. Скажите пожалуйста есть ли варианты решения данной проблемы? Пример файла во вложении.
    • jay228
      помогите расшифровать файлы с расширением *.onion
      Автор jay228
      Здраствуйте. не хотел создавать новую тему т.к. похожая ситуация . заметил что в время работы за пк перестал запускатся тотал командер . когда вошел через папку в корне диска С увидел файлы с расширением *.onion . поскольку не чего не запускалось то я сделал перегрузку и зашел в безопасный режим . там выяснилось что с расширением onion только файлы в корне диска С и часть файлов в папках первых по алфавиту. остальное все на месте. Сейчас загрузился с загрузочной флешки и пишу вам. у меня вопрос. возможно я успел до того как вирус пошифровал мне все. возможно как то удалить его и предотвратить его дальнейшую работу не находясь с системного диска а с live-cd или расшифровать зашифрованые файлы для дальнейшего сноса системы ?
       
      п.с. логи не приложил т.к. не загружал систему во избежание дальнейшей потери файлов. могу их предоставить если их можно сделать с загрузочного носителя
    • Анвар
      Шифровальщик
      Автор Анвар
      Поймали вирус, он зашифровал файлы в вид Имя_файла.оригинальное_расширение.id-9CD284DD.[amagnus00@dmx.com].wallet.  Возможна ли дешифровка?
      CollectionLog-2017.04.20-15.36.zip
    • synopsis
      зашифровались файлы [amagnus00@gmx.com].wallet
      Автор synopsis
      зашифровались файлы :
       
      KVRT обнаружил payload_127AMM.exe файлы как Trojan-Ransom.Win32.Crusis.so
       
      RakhniDecryptor не помог
      CollectionLog-2017.04.29-17.28.zip
    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
×
×
  • Создать...